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© Verfahren zur Authentifizierung eines Systemteils durch ein anderes Systemteil eines 
Informationsubertragungssystems nach dem Challenge-and-Response-Prinzip. 



© Bei einem mit einem Endgerat und einer tragba- 
ren Datentrageranordnung gebildeten In formation s- 
ubertragungssystem findet eine Authentifizierung ei- 
nes Systemteils durch ein anderes Systemteil nach 
dem Challenge-and-Response-Prinzip statt. Die trag- 
bare Datentrageranordnung ist mit einem Wertespei- 
cher und einer dieser zugeordneten Kontrolleinrich- 
tung sowie einem nichtfluchtigen, begrenzbaren Feh- 
lerzahler gebildet. Bei dem Authentifizierungsverfah- 
ren ist zunachst in der tragbaren Datentrageranord- 
nung eine Sperre fur das Durchfuhren von Rechen- 
operationen eingerichtet. die erst durch Verandern 
des Fehlerzahlerstandes aufgehoben werden mufl. 
Von dem Endgerat werden Zufallsdaten als Challen- 
ge-Daten zur tragbaren Datentrageranordnung uber- 
tragen, nachdem der Fehlerzahlerstand inkremental 
verandert wurde und die Sperre aufgehoben worden 
ist. Sowohl im Endgerat als auch in der tragbaren 
Datentrageranordnung werden aus der. Challenge- 
^ Daten mit Hilfe zumindest eines Aigorithmus und 
gehermer SchKisseldaten jeweils-Authentifikationspa- 
^ rameter AP3. AP4 berechnet. Das Endgerat ubei- 
§y tragi seine Authentifikationsparameter AP3 als Re- 
^ _spor.se zur tragbaren Datentrageranordnung wo sie 
1^ mit den dort berechneten Authentifikationsparame- 
CD tern AP4 verglichen werden. Bei Ubereinstimmung 
q der jeweiligen Authentifikationsparameter AP3, AP4 
wird der Wertespeicher wiederaufladbar und/oder 
flL der Fehlerzahler rucksetzbar 
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Die Erfindung betrifft em Verfahren zur Aulhen- 
tinzieamg ernes Systemtetfs durch em andcres Sy- 
stemteil nach dem Chalienge-and-Responsc-Prirv 
-:p bei emern mil emem Endgerat und emer trag- 
baren Datentrageranordnung gebildeten informa- 
nonsubertragungssystem, wobei die Iragbare Daten- 
tragereinheit mil einem Wertespeicher und einer 
diesem zugeordneten Kontrolleinrichtung gebildet 
ist. 

Tragbare Datentrageranordnungen wie bei- 
spielsweise Telefonkarten smd mit einem Werte- 
speicher und einer diesem zugeordneten Kontroll- 
einrichtung gebildet. Der Wertespeicher ist als 
nichtfluchtiger Speicher, also beispielsweise afs 
EPROM oder EEPROM, ausgefCihrt. Da solche Da- 
tentrageranordnungen einen Gefdwert reprasentie- 
ren. ist das Risiko gegeben, daG Versuche unter- 
nommen werden, den Wertespeicher zu manipulie- 
ren bzw. solche Datentrageranordnungen beispiels- 
weise mittels eines Mikroprozessors zu simulieren. 
Zu diesem Zweck konnte der Datenverkehr zwi- 
schen einer solchen tragbaren Datentrageranord- 
nung und einem Endgerat abgehort werden und 
dann anhand des ermittelten Datenflusses die Da- 
tentrageranordnung simuliert werden. 

Um eine Simulation zu verhindern, sind Verfah- 
ren entwickelt worden. die nach dem sogenannten 
Challenge-and-Response-Prinzip arbeiten. Hierbei 
wird vom Endgerat eine Challenge beispielsweise 
eine Zufallszahl zu der tragbaren Datentrageranord- 
nung ubermittelt. AnschlieBend werden sowohl in 
der- tragbaren Datentrageranordnung als auch im 
Endgerat diese Zufallszahl mit einem geheimen 
Schlussel mittels eines Algorithmus verschlusselt. 
Daraufhin sendet die tragbare Datentragereinheit 
die verschliisselte Zufallszahl an das Endgerat als 
Response zuruck. Im Endgerat wird diese Respon- 
se mit der im Endgerat verschlusselten Zufallszahl 
verglichen. Bei Ubereinstimmung wird die tragbare 
Datentrageranordnung~als echt erkannt und ein Da- 
tenaustausch kann stattfinden. Wenn keine Uber- 
einstimmung gegeben ist. findet kein Datenaus- 
tausch statt, so dafi die tragbare Datentrageranord- 
nung nicht simuliert werden kann. 

Bekannte Verschlusselungsalgorithmen sind 
ivjr dann ausreichend sicher. wenn die Rechenlei- 
stung m der tragbaren Datentrageranordnung und 
?..? Wftiangc- der ve^chil". = seiten Dcv.er a-.-stel- 
c^end -jioil smd. Fur Tei-fonkarten sind :te be- 
kannten Algorithmen wie beispielsweise der RSA- 
Algorithmus viei zu aufwendig und damit zu teuer. 

Bei einer Telefonkarte werden bei jedem Ge- 
sprach eine bestimmte Anzahl der im Wertespei- 
cher gespeicherten Werte geloscht. Wenn alle 
Werte geloscht sind, wird die Karte normalerweise 
weggeworfen. Es besteht somit das Bedurfnis. den 
Wertespeicher wieder aufladbar zu gestalten. 



Es gibt heute Telefonkieditkancn die em.;n 
weiteren Wertespeicher enthalten. m oem em bo- 
stimmtcr Kredit abgespeichert ist 1st nun der Wer- 
tespeicher entwertet. so kann or wiedot aufgciadcm 

5 werden. wenn gleichzeitig em entspiechender Ted 
des Kredits im weiteren Wertespeicher geloscht 
wird. Dieser Wiederaufladevorgang des Wertespci- 
chers findet jedoch mnerhalb der Karte statt. 

Soli jedoch der Wiederaufladevorgang von au- 

w Ben gesteuert werden, so mussen entsprechende 
MaGnahmen getroffen werden. um erne miflbrauch- 
liche Wiederaufladung sicher unterbinden zu kon- 
nen. 

Die Aufgabe der vorliegenden Erfindung ist es 
/5 somit. ein sicheres Verfahren zur Authentifizierung 
eines Systemteils durch ein anderes Systemteil 
nach dem Challenge-and-Response-Prinzip bei ei- 
nem mit einem Endgerat und einer tragbaren Da- 
tentrageranordnung gebildeten Informationsubertra- 
20 gungssystem, wobei die "tragbare Datentragerein- 
heit mit einem Wertespeicher und einer dieser zu- 
geordneten Kontrolleinheit gebildet ist. anzugeben. 
das mit geringem Aufwand durchfuhrbar ist. 

Die Aufgabe wird gelost durch em Verfahren 
25 gemaB dem Anspruch 1. Vorteilhafte Weiterbildun- 
gen der Erfindung sind in den Unteranspruchen 
angegeben. 

In erfindungsgemaBer Weise ist die tragbare 
Datentrageranordnung aufier mit einem Wertespei- 
30 cher und einer diesem zugeordneten Kontrollein- 
richtung auch mit einem begrenzbaren Fehlerzah- 
ler gebildet. dessen Zahlerstand schreib- und 
loschbar nichtfluchtig in EEPROM-Speicherzellen 
abgelegt ist. 

35 Vor jedem Authentifizierungsvorgang wird der 

Fehlerzahlerstand inkremental durch einen Pro- 
grammiervorgang verandert, wobei es durch die 
Begrenzung der Anzahl der Authentifizierungsvor- 
gange nicht moglich ist. den Algorithmus Oder den 

40 geheimen Schlussel, mit denen die Authentifika- 
tionsparameter aus den Challenge-Daten berechnet 
werden, zu ermitteln. AuGerdem wird vor jedem 
Authentifizierungsvorgang eine Sperre in der trag- 
baren Datentrageranordnung eingerichtet, die nur 

45 durch eine Veranderung des Fehlerzahlerstands 
aufgehoben werden kann. Auf diese Weise wird 
sichergestellt. daG jeder Authentifizierungsvorgang 
gezshlt wird. Die Sp^--e kann beisii^.s .ve:;^ eir. 
logischer Zustand in emei bestirnmier: Speicherze!- 

50 le sein. 

Ein Wiederaufladen des Wertespeicher in der 
tragbaren Datentrageranordnung ist auf erfindungs- 
gemaGe Weise nur moglich, wenn sich das Endge- 
rat durch denselben geheimen Schlussel und den- 

55 selben Algorithmus mit denen die Authentications* 
parameter aus den Chalienge-Daten berechnet . 
worden sind. authentifiziert hat. 
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Es ist voi'leilhaft. wenn bei der Berechnung der 
Autnentilikationsparameter neben den Challenge- 
Daten und dem geheimen Schlussel weitere Oaten 
einbezogen werden. Die Abhangigkeit der Respon- 
se auch vom Stand des'Fehlerzahlers, vom jeweili- 
gen Inhalt des wieder aufzuladenden Speichers 
Oder von Identifikationsdaten des tragbaren Daten- 
tragers erschwert die mifibrauchliche Analyse des 
gesamten Wiederaufladevorgangs zusatzlich. 

In vorteilhafter Weiterbildung der Erfindung 
wird vor Oder mit dem Wiederaufladen des Werte- 
speichers der Fehlerzahler riickgesetzt. 

Eine hdhere Sicherheit wird erreicht, wenn im 
Falle. dafi der Fehlerzahler vor dem Wiederaufla- 
den des Wertespeichers ruckgesetzt wurde, aus 
den Challenge-Daten mittels eines zweiten Algorith- 
mus. weiterer geheimer Schlusseldaten und'oder 
weiterer sonstiger Daten des tragbaren Datentra- 
gers weitere Authentifikattonsparameter ermittelt 
und miteinander verglichen werden. 

In weiterer Ausbildung der Erfindung kann auch 
vorgesehen werden, dafl sich vor einer Authentifi- 
zierung des Endgerats gegenuber der tragbaren 
Datentrageranordnung, diese sich gegenuber dem 
Endgerat mittels desselben Vorgangs authentifizie- 
ren muB. Zu diesem Zweck ubertragt die tragbare 
Datentrageranordnung die ermittelten Authentifika- 
tionsparameter als Response zu dem Endgerat, wo 
sie dann mit den dort ermittelten Authentifikations- 
parameter verglichen werden. Erst nach Uberein- 
stimmung der jeweiligen Authentifikationsparameter 
wird die Authentifizierung des Endgerats bezuglich 
der Berechtigung fur das Rucksetzen des Fehler- 
zahlers und/oder des Wiederaufladens des Werte- 
speichers durchgefuhrt. Falls sich die tragbare Da- 
tentrageranordnung nicht authentifizieren kann, 
wird der Vorgang sofort abgebrochen. 

Es ist hinsichtlich der Sicherheit des Authentifi- 
zierungsvorgangs vorteilhaft. wenn mit jedem ein- 
zelnen Authentifizierungsvorgang neue Challenge- 
Daten von dem Endgerat zur tragbaren Datentrage- 
ranordnung ubermittelt werden. Eine weitere Erho- 
hung der Sicherheit wird erreicht, wenn bei jedem 
Authentifizierungsvorgang ein neuer geheimer 
Schlussel und/oder ein neuer Algorithmus verwen- 
det werden. 

Damit im Endgerat nicht eine Virjfzahl von ge- 
^eirr-n SchlOsseln abgespeichei : c.ein muss-en. 
warden die in der jeweiligen tragbaren Datentrage- 
ranordnung gespeicherten geheimen Schlusselda- 
ten verschlusselt als Identifikationsdaten vom End- 
gerat aus der tragbaren Datentrageranordnung ge- 
lesen und im Endgerat mittels eines weiteren ge- 
heimen Schlussel entschlusselt. so daB dann so- 
wohl in der jeweiligen tragbaren Datentrageranord- 
nung als auch im Endgerat derselbe geheime 
Schlussel vorliegt. 



Die Erfindung wird nachfolgend anhand ernes 
Ausfuhrungsbeispiels mittels emer Figur naher ei- 
lautert. Es zeigt dabei die 

Figur em AblaLjfdiagramm eines erfmdungsge- 
s matfen Verfahrens. 

Der Ablauf in der tragbaren Datentrageranord- 
nung i st in der linken Halfte und der Ablauf im 
Endgerat in der rechten Halfte der Figur darge- 
stellt. In einem ersten Schritt werden einerseits die 
jo Sperre eingerichtet. was beispielsweise durch ein 
Reset-Signal fur den in der tragbaren Datentrage- 
ranordnung enthaltenen Halbleiterchip erfolgen 
kann. und andererseits werden die Kartenidentifika- 
tionsdaten CJD vom Endgerat aus der tragbaren 
;s Datentrageranordnung gelesen. Diese werden dann 
mittels eines weiteren geheimen Schlussels KEY 
und eines dazugehorenden Algorithmus f zu einem 
geheimen Schlussel KEY* entschlusselt- Dieser ge- 
heime Schlussel KEY', ist auch in der tragbaren 
20 Datentrageranordnung enthalten. 

In einem zweiten Schhtt wird der Fehlerzahler 
FZ in der tragbaren Datentrageranordnung inkre- 
mental erhoht oder erniedrigt. Durch die Anzahl der 
moglichen Zahlschritte ist die maximale Anzahl der 
25 Authentifikationsvorgange beschrankt, so daR das 
Ermitteln des geheimen Schlussels KEY' durch vie- 
le Versuche nicht moglich ist. Durch das Veran- 
dern des Fehlerzahlerstands wird die Sperre aufge- 
hoben. so dafl in der tragbaren Datentrageranord- 
30 nung die Durchfuhrung von Operationen moglich 
wird. 

In einem dritten Schritt wird zunachst eine er- 
ste Zufallszahl RANDOM 1 als Challenge vom End- 
gerat zur tragbaren Datentrageranordnung ubermit- 

35 telt. Dann werden in der tragbaren Datentrageran- 
ordnung diese Challenge mittels des geheimen 
Schlussels KEY', und eines Algorithmus f\ zu Au- 
thentifikationsparametern AP1 verarbeitet, und als 
Response-Oaten— *um Endgerat ubermittelt. Dort 

40 werden sie mit ebenfalls aus der Zufallszahl RAN- 
DOM 1. dem geheimen Schlussel KEY' und dem 
Algorithmus V ermittelten Authentifikationsparame- 
tern AP2 verglichen. Bei Ubereinstirnung wird die 
tragbare Datentrageranordnung als gultig erkannt 

45 und der Authentifikationsvorgang wird fortgesetzt. 
Ist keine Ubereinstimmung gegeben, so mu(3 der 
Vorgang von vorne begonnen werden. sov/eit de; 

Fehic:Z = r,!er FZ QiOS 

Eei ubersiimmung wird in einem vierten Schntt 
so eine weitere Zufallszahl RANDOM 2 als weitere 
Challenge vom Endgerat an die tragbare Datentra- 
geranordnung ubermittelt. Diese wird wiederum 
mitteis des geheimen Schlussels KEY' und des 
Algorithmus f\ sowohl in der tragbaren Datentrage- 
55 ranordnung zu Authentifikationsparametern AP4 als 
auch im Endgerat zu Authentifikationsparametern 
AP3 verarbeitet. Die Authentifikationsparameter 
AP3 des Endgerats werden dann als Response zur 
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tragi:-aren Datentrageranordnung ubermittelt. wo sie 
mn :en dortigen Authenttfikationsparametern AP4 
vergnchen werden. Bei Obereinstimmung hat sich 
das Endgerat gegenuber dec tragbaren Datentrage- 
rano.-d.-iung als berechtigt authentifiziert. sowohi 5 
den Fehlerzahler FZ rucksetzen zu durfen als auch 
den Wertespeicher wieder auftaden zu durfen. 

Es ware auch moglich und wurde zu noch 
groBerer Sicherheit fuhren, wenn vor dem Wieder- 
auflaaen des Wertespeichers ein weiterer Authenti- jo 
fizierungsvorgang mit einem weiteren Algorithmus 
stattfinden wurde. Es konnte dazu auch eine ande- 
re Zufallszahl erzeugt und als Challenge zur trag- 
baren Datentrageranordnung ubermittelt werden. 

Durch das erfindungsgemaGe Verfahren ist ein 15 
hohes MaB an Sicherheit bezuglich des Schutzes 
vor Manipulation gegeben, da sich sowohi die trag- 
bare Datentrageranordnung als auch das Endgerat 
jeweiis gegenuber dem anderen Systemteil authen- 
tifizieren mussen und ein Ermitteln der verwende- 20 
ten Algorithmen und geheimen Schlussel durch 
mehriaches Probieren mcht moglich ist, da einet- 
seits nur eine durch den Fehlerzahler FZ begrenzte 
Anzah! von Versuchen erlaubt ist, und andererseits 
innerhalb dieser Anzahl von Versuchen ein Ruck- 25 
rechnen mittels der Challenge- und der Response- 
Daten nicht moglich ist. 

30 

1. Verfahren zur Authentifizierung eines System- 
teiis durch ein anderes Systemteil nach dem 
Challenge-and-Response-Prinzip bei einem mit 
einem Endgerat und einer tragbaren Datentra- 
geranordnung gebildeten Informationsubertra- 35 
gungssystem, wobei die tragbare Datentrage- 
ranordnung mit einem Wertespeicher und einer 
diesem zugeordneten Kontrolleinrichtung, ei- 
nem begrenzbaren, nichtfluchtigen Fehlerzah- 
ler (FZ) sowie einer Sperrvorrichtung gebildet 40 
ist. mit folgenden Schritten: 

- in der tragbaren Datentrageranordnung 
wird eine Sperre fur das Durchfuhren von 
Rechenoperationen eingerichtet, die nur 
durch Verandern des Fehlerzahlerstan- js 
des aufgehoben werden kann. 

- der Fehlerzahferstand wird durch einen 
Pi-jgrarnmiervc-'ja^g vera ndert. wcouicr 
oie Sperre aufgehoben wird. 

- von dem Endgerat werden Zufallsdaten 50 
(RANDOM 1; RANDOM 2) als Challenge 

zur • tragbaren Datentrageranordnung 
ubertragen. 

- sowohi im Endgerat als auch in der trag- 
baren Datentrageranordnung werden aus 55 
der Challenge (RANDOM 1; RANDOM , 

2) mit Hilfe zumindest eines ersten Algo- 
rithmus (O sowie geheimer Schlusselda- 



ton (KEY') jeweiis Authentihkationspaia- 
meter fAP3. AP4) berechnet 

- das Endgerat iibertragt seme Authenufi- 
kationsparameter (AP3) als Response zur 
tragbaren Datentrageranordnung. wo sie 
mit den dort berechneten Authenttfika- 
tionsparametern (AP4) verglichen wer- 
den, 

- bei Obereinstimmung der jeweiligen Au- 
thentifikationsparameter {AP3. AP4) wird 
die Sperrvorrichtung deaktiviert, so dafi 
der Wertespeicher von dem Endgerat 
wieder aufladbar ist. 

2. Verfahren nach Anspruch 1 , dadurch gekenn- 
zeichnet, 

daB der Wertespeichers von dem Endgerat 
wiederaufgeladen wird. 

3. Verfahren nach Anspruch 1 , dadurch gekenn- 
zeichnet, 

daB gleichzeitig mit dem Wiederaufladen des 
Wertespeichers der Fehlerzahler (FZ) ruckge- 
setzt wird. 

4. Verfahren nach Anspruch 1 , dadurch gekenn- 
zeichnet, 

daB vor dem Wiederaufladen des Wertespei- 
* ehWtieTi^^ 

5. Verfahren nach Anspruch 3. dadurch gekenn- 
zeichnet, 

- daB nach dem Rucksetzen des Fehler- 
zahlers (FZ) sowohi im Endgerat als 
auch in der tragbaren Datentrageranord- 
nung aus der Challenge (RANDOM 1; 
RANDOM 2) mit Hilfe zumindest eines 
zweiten Algorithmus sowie der geheimen 
Schlusseldaten (KEY*) jeweiis weitere 
Authentifikationsparameter berechnet 
werden. 

- daB das Endgerat seine weiteren Authen- 
tifikationsparameter als Response zur 
tragbaren Datentrageranordnung uber- 
tragt. wo sie mit den dort berechneten 
weiteren Authentifikationsparametern ver- 
glichen werden. und 

- dab e;s; bei iJoereinsitmrnung dei jewei- 
ligen weiteren Authentifikationspaiameter 
der Wertespeicher von dem Endgerat 
wieder aufgeiaden wird. 

6. Verfahren nach einem der vorhergehenden An- 
spruche, dadurch gekennzeichnet, 

daB gleichzeitig mit dem Wiederaufladen des 
Wertespeichers ein weiterer Wertespeicher 
entsprechend dem vorherigen Wertestand des 
Wertespeichers umgeladen wird. 
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Verfahren nach einem der vorhergehenden An- 
spruche. dadurch gekennzeichnet. 

- da/3 vor der Ubertragung der Autheniifika- ^ 
tionsparameter (AP3) des Endgerats zur 



tragbaren Datentrageranordnung die 
tragbare Datentrageranordnung ihre Au- 
thentifikationsparameter (API) als Re- 



tionsparametern <AP2) verglichen wer- ;o 
den. und 

daG erst nach einem positiven Ver- 
gfeichsergebnis weitere Operationen 
moglich sind. 



8. Verfahren nach einem der vorhergehenden An- 
spruche. dadurch gekennzeichnet, 



50 



a 

c 

c 



sponse zum Endgerat ubertragt. wo sie LU 
mit den dort berechneten Authentifika- 



CL 



LU 

daG vor jeder Berechnung von Authentifika- 
tionsparametern (AP1, AP2, AP3, AP4) neue 
Zufallsdaten (RANDOM 1; RANDOM 2) als je- 20 
weils neue Challenge vom Endgerat zur trag- 
baren Datentrageranordnung ubertragen wer- 
den. 

9. Verfahren nach einem der vorhergehenden An- 25 
spruche, dadurch gekennzeichnet, 
dafi fur jeden Authentifikationsvorgang neue 
geheime Schlusseldaten verwendet werden. 

10- Verfahren nach einem der vorhergehenden An- 30 
spruche, dadurch gekennzeichnet, 
dafl fur jeden Authentifikationsvorgang ein neu- 
er Algorithmus verwendet wird. 

11. Verfahren nach einem der vorhergehenden An- 35 
spruche, dadurch gekennzeichnet 
dafi das Endgerat Identifikationsdaten (CID) 
aus der tragbaren Datentrageranordnung liest 
und daraus den Oder die geheimen Schlussel 
(KEY 1 ) berechnet, der oder die auch in der 40 
tragbaren Datentrageranordnung zur Verfu- 
gung steht oder stehen. 
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